Admin / Docker / Server

Docker – eigenen Bitwarden-Server (Vaultwarden) Hosten

Veröffentlicht von

Hier eine Anleitung, wie man auf einem Synology-NAS, einen eigenen Bitwarden-Server Hostet

Voraussetzungen:

  • Docker muss auf dem NAS installiert sein
  • einen Reverse Proxy (ich nutze Nginx Proxy Manager)
  • eine Domain, mit SSL-Zertifikat, die auf den Bitwarden-Server verweist (wenn die Verbindung kein gültiges SSL-Zertifikat hat, zeigt der Bitwarden-Server an, das nur ein Konto erstellt werden kann, wenn man ein gültiges SSL-Zertifikat hat)

Schritt 1 – Ordner auf dem NAS erstellen

Gehe zur File Station und öffne den Docker-Ordner. Erstelle im Docker-Ordner einen neuen Ordner und nennen ihn „vaultwarden“.
Hinweis: Achte darauf, nur Kleinbuchstaben und keine Großbuchstaben einzugeben.

Schritt 2 – Bitwarden-Server installieren

Als erstes melden wir uns über SSH, mit Hilfe von der Software Putty bei unserem NAS an.

Danach geben wir folgenden Befehl in die Konsole ein

  • –name vaultwarden \ = Name des Docker-Containers (an eigenen Containernamen anpassen)
  • –network=“macvlan“ \ = Name des Netzwerks (ich nutze ein macvlan)
  • –ip=“10.10.10.25″ \ = die IP des Containers (nur wenn das Netzwerk ein macvlan ist)
  • -e ADMIN_TOKEN=changeme \ = Passwort für den Admin-Bereich (wird später durch ein sicheres PW ersetzt)
  • -v /volume1/docker/vaultwarden/:/data/ \ = Pfad zum Ordner, den wir angelegt haben
  • -p 80:80 \ = Port über den der Server erreichbar ist
  • vaultwarden/server:latest = Name des Docker-Image, das runtergeladen und benutzt werden soll
docker run  -d \
--name vaultwarden \
--network="macvlan" \
--ip="10.10.10.25" \
-e ADMIN_TOKEN=changeme \
-v /volume1/docker/vaultwarden/:/data/ \
-p 80:80 \
vaultwarden/server:latestCode-Sprache: JavaScript (javascript)

Wenn alles geklappt hat, sollte man jetzt mit der Domain oder der IP auf den Server kommen, z.b. mit http://10.10.10.25 oder http://mein_domain.com, und für den Admin-Bereich http://10.10.10.25/admin oder http://mein_domain.com/admin

Schritt 3 – Sicheres ADMIN_TOKEN

Bevor wir anfangen ein neues Bitwarden-Konto zu erstellen, kümmern wir uns um die Sicherheit für den Admin-Bereich.

Der ADMIN_TOKEN „changeme“, den wir oben im Befehl angegeben haben, müssen wir noch ändern, dazu melden wir uns im Admin-Bereich an.

Mit http://10.10.10.25/admin oder http://mein_domain.com/admin und melden uns mit dem ADMIN_TOKEN changeme an, nach der Anmeldung sehen wir gleich einen Hinweis:

Sie verwenden einen Klartext „ADMIN_TOKEN“, der unsicher ist.
Bitte generieren Sie einen sicheren Argon2-PHC-String, indem Sie „Vaultwarden Hash“ oder „Argon2“ verwenden.Code-Sprache: JavaScript (javascript)

Um dieses Problem zu lösen, erstellen wir jetzt ein sicheres Passwort, mit hilfe von Vaultwarden Hash.

Wir öffnen wieder unsere Putty-Konsole, melden uns wieder mit der IP vom NAS an und geben folgenden Befehl ein

docker exec -it vaultwarden /vaultwarden hash
  • -it vaultwarden = Name des Docker-Containers (an eigenen Containernamen anpassen)
  • /vaultwarden hash = der Befehl um den Key zu erstellen (bleibt unverändert)

Nachdem der Befehl ausgeführt wurde, müssen wir zwei mal das neue Passwort angeben, für das Beispiel verwende ich meinneuertoken es muss mindestens 8 Zeichen haben. Falls alles geklappt hat, sollte das hier raus kommen:

ADMIN_TOKEN='$argon2id$v=19$m=65540,t=3,p=4$hd3Bvg/WRTL0D+IraG2vFqn22TSjfkNLYGHt0ot3WzU$OmV9xhTRDf6F7D2soNP/wRxLFNE2EhVAvbRdip0FTjs'Code-Sprache: JavaScript (javascript)

Wir brauchen aber nur diesen Teil, der zwischen den ‚ ‚ steht, also wechseln wir wieder in den Admin-Bereich vom Server und öffnen General settings, danach suchen wir das Textfeld Admin page token und kopieren folgendes ins Textfeld.

$argon2id$v=19$m=65540,t=3,p=4$hd3Bvg/WRTL0D+IraG2vFqn22TSjfkNLYGHt0ot3WzU$OmV9xhTRDf6F7D2soNP/wRxLFNE2EhVAvbRdip0FTjsCode-Sprache: PHP (php)

Nachdem wir auf Save geklickt haben, wird ein kleines Popup-Fenster mit der Meldung „Konfiguration korrekt gespeichert“ angezeigt. Somit sollte alles geklappt haben.

Schritt 4 – Benutzerregistrierung deaktivieren

Falls du nicht möchtest, das sich jeder, der deinen Bitwarden-Server findet, sich anmelden kann, dann hast du noch die Option, die Benutzerregistrierung zu deaktivieren.

Diese Option findet man auch in General settings, unter Allow new signups. Wenn man Checkbox deaktiviert, kann sich kein User mehr selbstständig anmelden, aber man kann neue User einladen um ein Konto.

Benutzerregistrierung deaktivieren
User einladen

Quellen